検出サーバーのアーキテクチャに関する考慮事項
検出サーバーが利用できない場合に発生する問題を確認し、ダウンタイムを最小限に抑えるための方法を理解します。
検出サーバーがダウンした場合、その影響はサーバーの種類によって異なります。詳細については、以下の表を参照してください。
検出サーバーの種類 | 停止の説明 |
|---|---|
Network Monitor 、Network Prevent (Web) 、Network Prevent (Email) | 検出とインシデントのログ記録が停止します。 |
Network Discover : | アクティブ スキャンまたは定時スキャンが停止し、インシデントはログに記録されません。 |
Endpoint Prevent /Endpoint Discover : | エージェントでの検出は通常どおり続行されます (遮断通知やポップアップ通知を含む)。 インシデントは、エンドポイント サーバーが利用可能になるまでエンドポイントのローカルに格納されます。エンドポイント サーバーが長期間停止している場合、新しいインシデントが記録されないことがあります。エンドポイントに十分な空きディスク容量がない場合、新しいインシデントは記録されません。これらのインシデントは、エンドポイント サーバーが復元されるまで Enforce サーバーに表示されません。 |
検出サーバーの損失は
Symantec Data Loss Prevention
ソリューションに重大な影響を与えます。検出サーバーの種類によっては、トラフィックの検査が失敗することがあります。幸い、ほとんどの検出サーバーは水平方向に拡張可能です。N+1 または N+2 サーバー配備と組み合わせた負荷分散ソリューションを使用することで、強力な可用性が実現されます。損失する検出サーバーの種類によって運用に対する影響は異なるので、HA/DR に関する考慮事項もそれぞれ異なる場合があります。Network Prevent (Email) および Network Prevent (Web)
Network Prevent (Email)
および Network Prevent (Web)
Network Prevent (Email)
および Network Prevent (Web)
検出サーバーには、特にコンテンツを遮断する機能があるため、企業は多くの場合、データ漏えい防止のための主要な防御線としてそれらの検出サーバーを使用します。高可用性を実現するために、これらのサーバーを N+1 または N+2 割り当てで配備し、負荷分散技術と併用すると、単一サーバーの障害に対する優れた防御策となります。 これらの 2 種類の検出サーバーには重要な役割があるため、お客様は多くの場合、障害回復を目的として、代替サイトにアクティブまたはウォーム スタンバイのインフラストラクチャを配置しています。
Endpoint Prevent および Endpoint Discover
Endpoint Prevent
および Endpoint Discover
エンドポイント サーバーは、ほとんどのトラフィックを直接検査することはなく、単にポリシーとインシデントを DLP Agent に中継する役割を果たしています。これらのサーバーはデータを中継するため、単一または複数のエンドポイント サーバーが一時的に失われることは許容されます。
ただし、EDM プロファイルと IDM プロファイルで 2 層検出が使用されている場合、エンドポイント サーバーはデータを検出します。
Endpoint Prevent
および Endpoint Discover
サーバーに対して以下のいずれかのアーキテクチャ シナリオを実装することを検討してください。 - N+1 構成でのエンドポイント サーバーの負荷分散。この構成では、1 つの URL/仮想 IP アドレスを使用してすべてのエンドポイント サーバーを表すことができるため、エージェントの可用性が向上します。
- DMZ または外部公開されているプライベート クラウド インスタンス内にエンドポイント サーバーを配置します。この構成では、エージェントが会社のネットワークに接続されていない場合でもエージェントの可用性が提供されます。
エージェントのフェールオーバに関する考慮事項
エージェント接続の要件に対応するようにエージェントのフェールオーバを計画します。エージェントのインストール パッケージを生成するときに、プライマリ サーバーがダウンした場合のバックアップとしてセカンダリ サーバーを指定できます。
エージェントは、別のデータベースで構成される環境に簡単にフェールオーバできません。別の Enforce サーバーおよびデータベースを含むフェールオーバ サイトを使用する場合は、エージェント通信に関する以下の考慮事項を確認してください。
- Enforce サーバーのエンドポイント キーストア パスワードを変更します。
- バックアップ Enforce サーバーに同じパスワードを適用します。
- エンドポイント サーバーを再起動して、キーストア パスワードが確実に適用されるようにします。
- 新しいエンドポイント キーストア パスワードを使用してエージェントのインストール パッケージを作成します。その後、バックアップ Enforce サーバーは、同じキーストア パスワードを使用する証明書を使ってエージェントと通信できます。
上記のフェールオーバ計画は、サードパーティの証明書ではテストされていません。
Network Monitor
Network Monitor
Network Monitor
では SPAN または TAP 接続を使用するため、高可用性と障害回復には特別な考慮事項が必要になります。 Network Monitor
サーバーに対して以下のアーキテクチャ シナリオを実装することを検討してください。 - サーバーを仮想化する場合は、ホストを仮想マシンに割り当てて、ホスト内の物理ネットワーク カードを最大限に活用できるようにします。
- 物理ハードウェアを使用する場合は、高度なエッジ ネットワーク アプライアンス上のトラフィック ステアリングを使用して「負荷分散」が実行される N+1 構成を配備します。お客様は通常、代替サイトの場所に配備されたスタンバイ/アクティブ型のインフラストラクチャを使用しています。このインフラストラクチャの目的は、フェールオーバだけではありません。代替サイトのトラフィックも監視します。
Network Discover
Network Discover
計画された定時スキャンの性質上、
Network Discover
は多くの場合、高可用性と障害回復の計画において優先順位が最も低くなります。ほとんどのお客様は、フェールオーバ専用のハードウェアを保持せずに、既存のサーバーの障害が発生したときに新しい Network Discover
サーバーを再構築します。Network Discover
からのインシデントを生成する文書は、多くの場合、リアルタイムではなく、日、週、月、または年の単位で生成されます。目標復旧時点は通常、より寛容な計画でサーバーを再構築できるように、より長い時間枠で見積もられます。